KIberblick

Glossar-Eintrag

Typosquatting

Angriffsmethode, bei der Paketnamen oder Domains gezielt minimal verändert werden, um Tippfehler auszunutzen.

Auch bekannt als: Typo-Squatting, URL-Hijacking, Package-Squatting

Typosquatting beschreibt eine Angriffstechnik, bei der Angreifer Namen registrieren, die einem etablierten Ziel bis auf einen Tippfehler gleichen. Der Angriff setzt darauf, dass Menschen sich vertippen oder Kopierfehler machen, und dabei statt auf dem echten auf dem bösartigen Ziel landen.

Wo Typosquatting vorkommt

Der Begriff taucht in drei Hauptkontexten auf.

Domains. Der klassische Fall. Angreifer registrieren micorsoft.com, goggle.de oder amaz0n.com und warten auf Tippfehler. Wer auf der falschen Seite landet, bekommt Phishing, Malware-Downloads oder Werbeumleitungen. Das Bundesamt für Sicherheit in der Informationstechnik warnt regelmäßig davor.

Paket-Manager. Für Entwickler der relevantere Fall. NPM, PyPI, RubyGems und andere Repositories werden seit Jahren mit Typosquatting-Paketen geflutet. Statt requests heißt das Paket request oder reqeusts, statt react dann reakt. Wer beim npm install einen Buchstaben vertauscht, zieht sich im schlimmsten Fall einen Trojaner in die Codebase.

Registries und Marktplätze. Neu mit der Verbreitung von MCP-Servern, Copilot-Extensions, ChatGPT Custom GPTs und ähnlichen Katalogen. Wer einen Server oder eine Extension publiziert, kann den Namen eines populären Tools mit minimaler Änderung registrieren und auf Verwechslung hoffen.

Warum es funktioniert

Drei Faktoren machen Typosquatting gefährlich.

  • Geringe Einstiegshürde: Ein Domain-Name kostet wenige Euro, ein NPM-Paket-Release ist kostenlos.
  • Hohe Reichweite bei Erfolg: Wenn ein Angreifer ein Typo-Paket eines viel genutzten Tools platziert, installiert es sich bei allen Entwicklern, die sich in diesem Moment vertippen.
  • Automatisierte Pipelines: CI/CD-Systeme prüfen Paketnamen meist nicht semantisch. Wenn im package.json der falsche Name steht, wird er klaglos installiert.

Was du dagegen tun kannst

  1. Paketnamen doppelt prüfen vor dem ersten install. Besonders beim Kopieren aus Tutorials oder Stack-Overflow-Antworten.
  2. Offizielle Registries bevorzugen. Bei MCP zum Beispiel das GitHub MCP Registry statt zufällige Fundstellen.
  3. Lockfiles committen und reviewen. Abweichungen zwischen dem, was ein Entwickler installieren wollte, und dem, was im Lockfile gelandet ist, sind ein Warnsignal.
  4. Dependency-Scanner einsetzen. Tools wie Socket, Snyk oder GitHub Dependabot erkennen Typosquatting-Muster und warnen, bevor ein verdächtiges Paket in Produktion landet.
  5. Bei Domains immer auf die URL schauen, bevor Zugangsdaten eingegeben werden. Browser-Bookmarks für kritische Dienste sind sicherer als die URL von Hand zu tippen.

Verwandte Begriffe

Typosquatting ist eine Unterform von Brandjacking (jemand nutzt eine bekannte Marke unerlaubt) und wird im Paket-Kontext oft unter Supply-Chain-Angriff subsumiert. Spezialformen sind Combosquatting (zusammengesetzte Begriffe wie google-login.com) und Homograph-Attacks (sichtbar identische Buchstaben aus anderen Alphabeten).

Quellen2